Qual è il contesto e quali i motivi che hanno hanno fatto nascere MonitoraPA?

Due anni fa la Corte di Giustizia Europea in una sentenza comunemente chiamata Schrems II, ha riconosciuto che gli USA non possono garantire una protezione dei dati personali compatibile con i diritti umani fondamentali dei cittadini europei. Diritti fondamentali che a noi italiani sono riconosciuti, ancor prima che dal GDPR europeo, dalla nostra Costituzione.

Di conseguenza è venuta meno la principale base giuridica dei trasferimenti di dati personali verso aziende USA. Questo perché, secondo la normativa USA, le aziende USA devono fornire accesso ai dati personali dei cittadini di tutto il mondo alle agenzie governative che lo richiedano. E tale accesso deve rimanere segreto. Per fare un esempio pratico: se una qualsiasi agenzia governativa USA chiede a Google di leggere la vostra casella GMail, Google sarebbe costretta a consegnargli tutti i dati lì contenuti e senza informarvi. Immaginate di essere un magistrato o un parlamentare: le agenzie di intelligence di una potenza straniera hanno libero accesso a tutto ciò che scrivete e a tutto ciò che vi scrivono.

Purtroppo però il problema non riguarda solo chi riveste incarichi di responsabilità, ma ogni singolo cittadino europeo. E non riguarda solo la casella email, ma le vostre telefonate, i vostri sms, le vostre foto, le vostre visite mediche, i vostri acquisti, le vostre curiosità e persino ogni colpo di tosse in casa vostra.

Due anni fa, quando la Corte di giustizia europea ha emesso la sentenza Schrems II, la quasi totalità dei trasferimenti di dati personali verso aziende USA è diventata illegale. Ci si sarebbe aspettati un cambio di rotta da parte di aziende e pubbliche amministrazioni, ma quasi tutti hanno fatto finta di niente, continuando ad inviare dati personali a Google & friends.

Non bisogna dimenticare inoltre che ogni dato aumenta il potere di chi lo raccoglie in modo esponenziale, per cui anche chi è vittima della sorveglianza in altri ambiti, ad esempio perché si porta dietro un cellulare Android o si mette in casa Alexa, non dovrebbe sottovalutare l’aumento del potere di controllo che Google (o altre aziende simili) può ottenere da un dato ottenuto per altre vie. Magari tu a casa non parli dei tuoi problemi di salute per non preoccupare la tua famiglia, ma Google può dedurli con precisione dai siti web che visiti o dagli ambulatori in cui ti rechi. E può usare questa informazione per orientare (ovvero aumentare) i tuoi consumi verso certi prodotti piuttosto che altri, sottoponendoti a una inflazione personalizzata maggiore di quella subita dal resto della popolazione perché l’aumento di prezzi è limitato agli specifici prodotti che acquisti tu. Ma ciò che è più grave, è che può anche usarla per orientare le tue opinioni politiche. Dunque anche se fosse vero, come si dice comunemente, che Google sorveglia tutti, meno ci facciamo sorvegliare più riduciamo il suo controllo cognitivo-comportamentale diretto ed indiretto sulle nostre vite.

Tutti o quasi sanno ormai che Cambridge Analytica utilizzava i dati ed il software di Facebook per orientare le scelte elettorali di milioni di persone, come è avvenuto ad esempio con l’elezione di Trump o con il referendum sulla Brexit. Ma il fatto che Facebook si sia fatto beccare a manipolare milioni di persone in diverse occasioni, non significa affatto che sia l’unico agente cibernetico con questa capacità o tanto meno quello più pericoloso.

Cosa intendi per “agente cibernetico”?

Faccio riferimento al modello matematico di Wiener, in cui un agente cibernetico è qualsiasi entità che partecipa all’evoluzione nel tempo di un sistema composto da diversi organismi, automatismi o organizzazioni. In estrema sintesi, un agente cibernetico è definito dai sensori di cui dispone (tramite i quali misura le variazioni dell’ambiente circostanti e gli effetti delle azioni che compie), dagli attuatori di cui dispone (tramite i quali agisce nel sistema di cui è parte) e da un centro di controllo che connette queste due categorie di “periferiche”, stabilendo l’azione corretta a fronte di ogni variazione dell’ambiente rilevata dai sensori. Ogni essere umano è un agente cibernetico: i sensori sono gli organi di senso, gli attuatori i suoi muscoli e la sua voce e il centro di controllo è il suo cervello. Ma anche Google o Facebook sono agenti cibernetici: i sensori sono costituiti dai miliardi di software che eseguono ogni giorno sui cellulari e sui browser di milioni di persone, gli attuatori sono costituiti ad esempio dagli Ads o dai risultati delle ricerche “personalizzate” e il controllore è costituito dai datacenter negli USA. Ogni volta che fate una ricerca, Google decide cosa farvi vedere non solo sulla base delle parole chiave che avete digitato, ma di dove siete, di cosa avete fatto nei giorni scorsi, dei siti che avete visitato, delle opinioni che avete espresso etc.. etc… In sostanza vi tratta come file, come dati da indicizzare per individuare i contenuti (altri dati) correlati, ovvero quelli che vi devono interessare. Così i risultati a voi sembrano più “pertinenti” ma non avete alcuna idea di quali contenuti Google vi stia nascondendo o alcun controllo sul fatto che siano nascosti o meno. E controllando quali contenuti mostrare a ciascuno e quali no, Google acquisisce un enorme potere di controllo della società.

Ma anche un qualunque cittadino può diventare un “cittadino cibernetico”, se comprende il funzionamento del sistema cibernetico in cui vive ed è in grado di partecipare alla sua regolazione attraverso la creazione o la modifica degli innumerevoli automatismi che vi operano.

Ma se il problema è così grave, perché sembra interessare così pochi?

Beh, anzitutto interessa a moltissime persone. Che però tendono a battersi da sole contro un muro di gomma. D’altro canto lo stesso non si può dire per innumerevoli altre tragedie del capitalismo rimaste evidenti a tutti per decenni nell’indifferenza di cittadini e autorità? Quanti bambini sono dovuti morire di cancro a Taranto prima che l’ILVA fosse fermata? Quante lavoratrici e quanti lavoratori sono dovuti morire di mesotelioma a causa della Eternit? Quanti lavoratori muoiono ogni anno per incidenti sul lavoro? Quando l’illegalità è diffusa capillarmente, anche le istituzioni preposte fanno finta di non vederla per non “disturbare il mercato”.

Non è un paragone eccessivo?

Per nulla! Ma mi rendo conto che chi non conosce approfonditamente il funzionamento di queste piattaforme di sorveglianza di massa non possa comprendere i meccanismi di alienazione e di dipendenza che producono su tutte le fasce di età. E mi rendo conto anche che tutti coloro che dipendono dai servizi di Google & friends preferiscono non farsi troppe domande e relegare a “paranoie” domande come “cosa ci guadagnano dal raccogliere così tanti dati su di me?” o “perché mia figlia sta sempre attaccata al cellulare?” Sono domande problematizzanti, disturbanti. Porsele sul serio significa prendere coscienza della propria alienazione e di una dipendenza fortissima, difficile da superare da soli. Quindi è meglio ignorare il problema, no?

In cosa consiste esattamente la vostra iniziativa?

MonitoraPA è nato dall’incontro fra un’idea molto semplice, cioè esigere il rispetto della sentenza Schrems II, con chi aveva le competenze per farlo ed una ferrea volontà di cambiare le cose. Abbiamo scritto un piccolo osservatorio automatico, un software che visita una serie di siti web, prevalentemente di pubbliche amministrazioni, e registra le prove degli eventuali trasferimenti illeciti di dati personali che tali siti avviano, per poi chiedere ai titolari di questi siti di interromperli, spiegando per filo e per segno perché è importante. Finora moltissime pubbliche amministrazioni hanno compreso il problema, ci hanno ringraziato e vi hanno posto rimedio. Quando non lo fanno, segnaliamo tali trasferimenti illeciti all’Autorità Garante per la Protezione dei Dati Personali, consegnandogli le evidenze raccolte così che possa intervenire esercitando i suoi poteri.

Ma perché proprio le pubbliche amministrazioni?

Sono state scelte per molte ragioni, non ultima la delicatezza dei servizi che offrono: se visito il sito di un centro di recupero per tossicodipendenze e il titolare del trattamento invia subito l’informazione a Google, questa azienda inizia a sapere di me qualcosa che io non intendo condividere con loro. Stessa storia se visito una pagina sull’interruzione di gravidanza nell’ospedale più vicino o voglio pagare una multa sul sito del mio comune: anche potessi farlo da un’altra parte, perché dovrei? Secondo la Costituzione lo Stato esiste per servire i cittadini! Perché dovrei scegliere fra esercitare i miei diritti e cedere la mia autonomia cognitiva ai GAFAM (Google, Amazon, Facebook, Apple, Microsoft)?

Perché ultimamente avete scelto in particolare le scuole come amministrazioni pubbliche a cui rivolgere la vostra attenzione?

Perché la nostra generazione è semplicemente fottuta. Non c’è più nulla che possiamo fare per salvarla. È vittima di una dipendenza di cui non vuole diventare consapevole e arriva a difendere strenuamente chi la manipola e ad attaccare chi prova ad emanciparla. O anche solo chi prova a sottrarvisi! Ma possiamo fare qualcosa per le generazioni dopo di noi. Io ad esempio ho provato rabbia per la sofferenza subita dalle mie figlie durante la DaD perché non disponevano (per mia scelta) di una telecamera. Subivano pressioni enormi dagli insegnanti, che venivano riprese ed esacerbate dai compagni. Una situazione al limite del cyberbullismo e forse anche oltre. Ma io non potevo cedere: nessuno deve trattare le mie figlie come topi da laboratorio! Nessuno ha il diritto di trattarle come mucche da mungere. Nessuno deve avere il potere di ridurle a burattini inconsapevoli. Alla prossima generazione dobbiamo dare una speranza!

Così, come primo passo, abbiamo fatto una richiesta di accesso civico generalizzato alle scuole chiedendo 6 documenti che, per legge, avrebbero dovuto redigere in questi anni. Da questi documenti speriamo emergano chiaramente sia i problemi sia le soluzioni. In fondo non possiamo credere che tutte le scuole siano insensibili all’autonomia degli studenti! Il rapporto di Human Rights Watch sulla manipolazione continua degli studenti e sulle conseguenze di lungo periodo è stato chiarissimo. Ci sarà almeno un preside che si è posto il problema!

Quale è stata la risposta che avete avuto da parte delle scuole?

A poche settimane dalla nostra richiesta ha risposto poco più del 10% delle scuole. Una manciata di scuole ci ha risposto con i documenti richiesti. Qualcuna ha chiesto chiarimenti. La stragrande maggioranza ha rifiutato il nostro accesso civico con varie scuse. Per quanto controintuitivo, questo è in realtà un buon segno: oltre 80% non ha ancora risposto e poiché rifiutare i documenti è più rapido che fornirli se devi aspettare il consenso dei fornitori, speriamo che la maggioranza delle scuole si stia adoperando per rispondere alla nostra richiesta nei termini di legge. Anche perché dal punto di vista dei presidi è l’unica strada per evitare perdite di tempo.

Cosa state facendo per portare dalla vostra parte e per aiutare e sostenere studenti e docenti?

La verità è che abbiamo le competenze, ma non abbiamo le forze per offrire soluzioni a tutti. Dunque il primo obiettivo della nostra lotta politica è portare alla ribalta questi problemi gravissimi che vengono attentamente tenuti lontano dai riflettori. Ad esempio, durante le elezioni abbiamo orientato il nostro osservatorio su oltre 60 partiti politici, scoprendo che la quasi totalità inviava a Google i dati delle persone che visitavano il loro sito! Abbiamo chiesto loro di smettere ma solo un dozzina l’ha fatto. Abbiamo così dovuto segnalare al Garante 47 partiti politici per violazione del GDPR. Cosa ne avete letto sui giornali? Niente. E cosa avete letto sui giornali dell’accesso civico generalizzato ricevuto da 8254 scuole? Niente. Eppure abbiamo scritto un comunicato stampa e l’abbiamo inviato a decine di testate e di giornalisti!

Detto questo, anche se MonitoraPA si limita a rendere consapevoli di qualcosa che si preferirebbe ignorare, noi che ci lavoriamo facciamo molte cose per cercare di aiutare studenti e docenti. Stiamo cercando di coinvolgere le associazioni che promuovono la diffusione del software libero affinché affianchino le scuole in un percorso di de-gafamizzazione analogo a quello intrapreso da Framasoft in Francia. Cerchiamo di fare formazione e informazione gratuitamente, e su diversi canali di comunicazione. Io personalmente ho messo le mie competenze (e i miei soldi) a disposizione delle scuole delle mie figlie, proponendo soluzioni alternative e più sicure rispetto a quelle fornite dai GAFAM. Ma come tanti altri genitori con analoghe competenze e preoccupazioni, non abbiamo ottenuto molto, perché la gravità della profilazione non è facilmente percepibile da chi non ha competenze informatiche adeguate.

Qualcuno sostiene che state rubando il mestiere al Garante privacy. Cosa rispondete?

Al limite lo stiamo aiutando, realizzando e mettendo a disposizione di tutti strumenti capaci di individuare la violazione dei diritti dei cittadini. D’altro canto, dopo le nostre segnalazioni, in pochi mesi oltre il 92% delle PA ha dismesso Google Analytics e oltre il 70% ha interrotto i trasferimenti dovuti a Google Fonts: quanto abbiamo ridotto il carico di lavoro del Garante semplicemente chiedendo di rispettare la legge? Noi non possiamo fare altro: segnalare tali violazioni e sperare che l’Autorità Garante per la Protezione dei Dati Personali… Protegga i dati personali e le persone che quei dati descrivono.

Ma voi chi siete?

Di fatto, solo un pugno di hacker, determinati a proteggere i nostri figli e la loro generazione. L’unica differenza fra noi e chi si rassegna a essere spiato e manipolato è che noi sappiamo di poter vincere questa lotta cibernetica. D’altro canto c’è un solo modo per vincere in un conflitto: convincere l’avversario che ha perso, convincerlo che continuare a lottare è inutile. Noi siamo quelli che non riusciranno mai a convincere.

Pensate che ci siano altri ambiti in cui sarebbe necessario coinvolgere gli utilizzatori nella difesa dallo sfruttamento digitale?

Certo! Sul lavoro ad esempio: quante aziende esternalizzano le competenze informatiche cedendo i dati dei propri dipendenti e i propri dati aziendali a chi gli vende servizi sottocosto? E quante ASL o quanti ospedali permettono (o chiedono) a medici e infermieri di usare Google Meet o Microsoft Teams o WhatsApp per scambiarsi informazioni sui pazienti con la medicina territoriale? O quanti tribunali hanno fatto lo stesso durante la pandemia, discutendo casi civili e penali sotto l’occhio vigile (ma apparentemente invisibile) dei GAFAM? Quanti rider o quanti magazzinieri vengono sorvegliati continuamente e sfruttati per garantire alle piattaforme di e-commerce prezzi inferiori a quelli dei negozi più vicini all’acquirente?

Quale potrebbe essere la prossima lotta e insieme a chi potrebbe essere fatta?

La prossima lotta dipende da chi avrà la consapevolezza e la voglia di lottare con noi. Vorremmo coinvolgere genitori e insegnanti nella realizzazione di reclami per contrastare l’utilizzo di questi sistemi di sorveglianza a scuola. E in ambito sindacale si potrebbe lavorare sia sul piano della formazione, sia fornendo ai lavoratori o almeno agli iscritti servizi alternativi, basati sul software libero. In fondo chi meglio dei sindacati conosce il problema dell’alienazione dei lavoratori? Chi meglio di loro potrebbe cercare di emanciparli? È un cammino in salita, ma bisogna percorrerlo. Quante aziende italiane dipendono dai servizi dei GAFAM? Quanti lavoratori emigrano, portandosi via le competenze che permetterebbero di affrancarsene, perché qui non c’è domanda per le loro competenze informatiche? La liberazione dello spazio cibernetico da questi agenti pericolosissimi per la democrazia potrebbe fare da volano per l’economia, permettendo di riqualificare milioni di lavoratori in Italia ed in Europa! Ma ancor prima che un’opportunità economica, dobbiamo vedere questa sfida come un dovere nei confronti dei nostri figli. In gioco c’è letteralmente la loro libertà.

Qui il PDF